amnsecurity/CVE-2026-0257-GlobalProtect-Bypass
GitHub: amnsecurity/CVE-2026-0257-GlobalProtect-Bypass
针对 Palo Alto PAN-OS GlobalProtect 认证 Cookie 伪造漏洞(CVE-2026-0257)的 PoC 利用工具与完整技术分析。
Stars: 1 | Forks: 0
# ─── CVE-2026-0257 ───
# 🏴 AMN SECURITY 🏴 ### 网络安全研究中心 | Cyber Security Research Center
# 🏴 AMN SECURITY 🏴 ### 网络安全研究中心 | Cyber Security Research Center
# ⚠️ Palo Alto GlobalProtect 身份验证 Cookie 伪造漏洞
### CVE-2026-0257 | CVSS 9.1 | 严重
### 📋 执行摘要
**Palo Alto Networks PAN-OS** 中存在一个严重的安全漏洞,允许未经身份验证的攻击者伪造 **GlobalProtect** 中的身份验证覆盖 Cookie(Authentication Override Cookies)并建立 VPN 连接。在 2026 年 5 月 29 日监测到该漏洞在攻击中被实际利用后,它已被列入 **CISA KEV**(已知被利用漏洞目录)。
### 🔍 漏洞详情
| 元素 | 详情 |
|--------|----------|
| **CVE** | CVE-2026-0257 |
| **CVSS v4** | 9.1 (严重) |
| **类型** | 身份验证绕过 — Cookie 伪造 |
| **CISA KEV** | ✅ 已添加 (2026 年 5 月 29 日) |
| **首次利用** | 2026 年 5 月 17 日 |
| **产品** | Palo Alto PAN-OS / Prisma Access |
#### 受影响的产品
| 产品 | 受影响版本 |
|--------|-------------------|
| PAN-OS 12.1 | **早于** 12.1.4-h6 |
| PAN-OS 11.2 | **早于** 11.2.4-h17 |
| PAN-OS 11.1 | **早于** 11.1.4-h33 |
| PAN-OS 10.2 | **早于** 10.2.7-h34 |
| Prisma Access 11.2 | **早于** 11.2.7-h13 |
| Prisma Access 10.2 | **早于** 10.2.10-h36 |
### 💥 攻击机制
```
GlobalProtect Gateway HTTPS Certificate
│
▼
استخراج المفتاح العام (Public Key)
من شهادة TLS
│
▼
تزوير كوكيز Auth Override
مشفرة بالمفتاح العام
│
▼
إرسال الكوكيز المزورة إلى
/ssl-vpn/login.esp
│
▼
✅ إذا تطابقت الشهادة ← قبول الكوكيز
🔓 وصول VPN كامل غير مُصرّح به
```
### 🧪 工具使用
```
# 扫描单个目标
python3 exploit_poc.py --target vpn.target.com
# 使用自定义端口扫描
python3 exploit_poc.py --target vpn.target.com --port 8443
# 为特定用户伪造 Cookie
python3 exploit_poc.py --target vpn.target.com --user admin
# 从文件扫描多个目标
python3 exploit_poc.py --target-file targets.txt
# 详细模式
python3 exploit_poc.py --target vpn.target.com --verbose
```
#### 选项
| 选项 | 描述 | 默认值 |
|--------|-------|-----------|
| `--target` | 目标 (IP 或 Hostname) | - |
| `--target-file` | 包含目标的文件 (每行一个 ip:port) | - |
| `--user` | 用户名 | admin |
| `--domain` | 域名 | (空) |
| `--client-os` | 操作系统 | Windows |
| `--verbose` | 详细显示 | - |
### 🛡️ 缓解措施
1. **立即升级**到已修复的版本(见上表)
2. 在 GlobalProtect 设置中**禁用** Authentication Override 功能
3. **生成新的专用证书**以加密 Auth Override Cookie(不要与 HTTPS 重复使用)
4. **监控日志**以检测利用尝试
#### 攻击检测
可疑的 GlobalProtect 日志:
```
GLOBALPROTECT,0,2817,...,gateway-auth,login,Cookie,,admin,...,GP-CLIENT,...,6.0.0,,Linux,...,success
```
### 📚 参考
- **Palo Alto 公告**: https://security.paloaltonetworks.com/CVE-2026-0257
- **Rapid7 分析**: https://www.rapid7.com/blog/post/etr-rapid7-observed-exploitation-of-pan-os/
- **CISA KEV**: https://www.cisa.gov/known-exploited-vulnerabilities-catalog
- **AMN SECURITY 研究**: GlobalProtect 身份验证绕过分析
### 👥 AMN SECURITY 团队
| 成员 | 专长 |
|-------|--------|
| AMN 研究团队 | 漏洞分析 |
| AMN 漏洞利用团队 | 漏洞利用开发 |
| AMN 防御团队 | 缓解措施 |
# ⚠️ Palo Alto PAN-OS GlobalProtect 身份验证覆盖 Cookie 伪造 ### CVE-2026-0257 | CVSS 9.1 | 严重 ### 📋 执行摘要 **Palo Alto Networks PAN-OS** 和 **Prisma Access** 中存在一个严重的身份验证绕过漏洞,当存在特定配置时,允许远程未经身份验证的攻击者伪造 GlobalProtect 身份验证覆盖 Cookie 并建立 VPN 连接。在 2026 年 5 月 17 日首次观察到被利用后,**CISA 于 2026 年 5 月 29 日将其添加到 KEV 中**。 ### 🔍 漏洞详情 | 字段 | 值 | |-------|-------| | **CVE** | CVE-2026-0257 | | **CVSS v4** | 9.1 (严重) | | **CWE** | CWE-294: 通过捕获重放绕过身份验证 | | **CISA KEV** | ✅ 2026 年 5 月 29 日添加 | | **首次利用** | 2026 年 5 月 17 日 | | **产品** | PAN-OS / Prisma Access | #### 工作原理 该漏洞利用了 GlobalProtect 中的身份验证覆盖功能,该功能将 Cookie 作为类似 Bearer Token 的令牌颁发。该漏洞利用的运作方式如下: 1. 从 GlobalProtect 门户/网关 HTTPS 服务检索证书链 2. 遍历每个证书的公钥 3. 伪造使用每个公钥加密的身份验证覆盖 Cookie 4. 针对 `/ssl-vpn/login.esp` 测试伪造的 Cookie 5. 如果设备将 Cookie 加密证书与 HTTPS 重复使用,则伪造的 Cookie 将被接受 #### 受影响的产品 | 产品 | 受影响版本 | 已修复版本 | |---------|------------------|----------------| | PAN-OS 12.1 | < 12.1.4-h6 | >= 12.1.4-h6 | | PAN-OS 11.2 | < 11.2.4-h17 | >= 11.2.4-h17 | | PAN-OS 11.1 | < 11.1.4-h33 | >= 11.1.4-h33 | | PAN-OS 10.2 | < 10.2.7-h34 | >= 10.2.7-h34 | | Prisma Access 11.2 | < 11.2.7-h13 | >= 11.2.7-h13 | ### 🧪 使用方法 ``` # 单个目标 python3 exploit_poc.py --target vpn.target.com # 自定义端口 python3 exploit_poc.py --target vpn.target.com --port 8443 # 不同用户名 python3 exploit_poc.py --target vpn.target.com --user admin # 从文件扫描多个目标 python3 exploit_poc.py --target-file targets.txt # 详细输出 python3 exploit_poc.py --target vpn.target.com --verbose ``` ### 🛡️ 缓解措施 1. 立即**升级**到已修复的版本 2. 在 GlobalProtect 中**禁用**身份验证覆盖功能 3. 为身份验证覆盖 Cookie **生成专用证书**(不要重复使用 HTTPS 证书) 4. **监控日志**以发现可疑的基于 Cookie 的身份验证 ### 📚 参考 - **Palo Alto 公告**: https://security.paloaltonetworks.com/CVE-2026-0257 - **Rapid7 分析**: https://www.rapid7.com/blog/ - **CISA KEV**: https://www.cisa.gov/known-exploited-vulnerabilities-catalog - **AMN SECURITY**: GlobalProtect 身份验证绕过 PoC ## 关注 AMN SECURITY — تابعنا [](https://amn.amnoffsec.workers.dev/) [](https://www.instagram.com/ixctw) [](mailto:ayman.mahmoudoffsec@gmail.com) ### ⚖️ 免责声明 本工具仅用于**授权的安全测试和教育目的**。未经授权的使用是非法的。作者和 AMN SECURITY 对滥用不承担任何责任。
**🏴 AMN SECURITY** — 企业级攻击安全
标签:CISA项目, PAN-OS, PoC, 暴力破解, 漏洞分析, 路径探测, 身份认证绕过, 逆向工具